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摘 要 : 基于 Shamirm，f 秘 密 共 享 方案 ， 提 出 一 个 新 的 门限 秘密 共享 方案 。 利 用 n 阶 和 矩阵 的 特征 方程 具有 重 根 的 特 
点 ， 实 现 了 不 同 集合 中 参与 者 的 秘密 共享 。 同 一 参与 集合 所 对 应 的 次 主 密 钥 是 相同 的 ， 即 特征 值 是 相同 的 ， 将 同一 个 
特征 值 所 对 应 的 不 同 特征 向 量 作为 子 密 钥 ， 分 发 给 同一 参与 集合 的 参与 成 员 。 而 且 利 用 黑人 金子， 同一 集合 内 部 成 员 可 
以 验证 自己 手中 的 子 密 钥 的 真实 性 ， 从 而 达到 了 防 欺诈 的 目的 。 分 析 结 果 表 明 ， 本 方案 是 安全 的 理想 秘密 共享 方案 。 
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Special threshold secret sharing scheme in sense of black box based on eigenvalue 
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Abstract: This paper proposed a new threshold secret sharing scheme based on the Shamir(n, t) threshold secret sharing scheme. 
Used the characteristic that the characteristic equation of the n-th order matrix has multiple roots, realized the secret sharing of 


participants in different sets. The secondary master key corresponding to the same participation set is the same, that is, the 


eigenvalue are the same. The algorithm firstly used the feature vector corresponding to the same eigenvalue as a subkey , then 


it distributed the subkey to the participating members of the same participating set. what's more, the members of the same 


collection could use the black box to verify the authenticity of the sub-keys in their own hands so as to achieve the purpose of 
fraud prevention. The analysis result shows that this Scheme is Safe and ldeal . 
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E 的 分 层 秘密 共享 方案 。Yang 等 人 中 提出 了 一 个 加 权 超 椭圆 秘 
密 共 享 方案 。BinulsI 等 人 提出 了 一 个 具有 单调 广义 访问 结构 的 

秘密 共享 方案 为 解决 信息 安全 和 密 钥 管理 问题 提供 了 一 个 ” 秘密 共享 方案 , 利用 Shamir 方案 和 椭圆 曲线 配对 的 方法 使 得 该 

畦 新 的 思路 ， 在 重要 信息 和 秘密 数据 的 安全 存储 、 传 输 及 合法 。 方案 具有 可 验证 性 。Jarecki 等 人 名 提出 了 第 一 轮 最 优 PPSS 方 
利用 中 起 着 非常 关键 的 作用 。 自 Shamir0 和 BlakleyP 在 1979 年 ” 案 。Pilaram 等 人 09 根 据 Ajtai 的 单 向 函数 构造 , 提出 了 一 个 基于 
分 别提 出 了 门限 秘密 共享 体制 以 来 ， 有 关 秘 密 共 享 体制 的 研究 格 的 门限 多 级 秘密 共享 (MSSS ) 方 案 。Sarkan 和 Wang 等 人 0 


i 


二 


到 


受到 了 广泛 的 研究 ， 并 取得 了 丰硕 的 成 果 。 基于 双 线 性 对 CBLP) 映射 分 别提 出 了 秘密 共享 方案 。 

Ito 等 人 BI 中 描述 了 秘密 共享 的 一 般 方法 ,给 出 了 实现 任意 本 文 在 Shamir 门限 方案 的 基础 上 , 利用 4 阶 对 称 矩 阵 的 特 
单调 访问 结构 的 秘密 共享 方案 的 相关 技术 。Laih 等 人 中 提出 了 征 方 程 具有 重 根 的 特点 ， 提 出 了 一 个 基于 特征 值 的 门限 秘密 共 
动态 秘密 共享 的 概念 ， 主 秘密 可 以 随意 更 新 而 参与 者 拥有 的 子 。 享 方案 的 设计 新 方法 。 同 时 ， 本 方案 设计 了 一 个 et ， 


秘密 值 可 以 保持 不 变 。Zarepour-Ahmadabadi 等 人 的 提出 了 一 种 ”并 利用 “ 黑 盒子 ”实现 子 秘密 生成 和 主 密 钥 恢 复 的 功能 。 经 过 
新 颖 高 效 的 算法 以 解决 动态 密 钥 通信 量 成 本 高 的 问题 。 分 析 证 明 ， 该 方案 是 完善 理想 的 ， 且 在 理论 上 是 不 可 攻破 的 。 


Traverso 等 人 四 提出 了 基于 Birkhoff 插值 的 第 一 个 动态 和 可 验 
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1 ”预备 知识 


为 了 方案 描述 方便 ， 先 介绍 一 下 用 到 的 基础 知识 。 
1.1 方 阵 的 特征 值 和 特征 向 量 

定义 103 设 4 是 阶 和 矩阵 , 如 果 数 4 和 维 非 零 列 向 量 
使 关系 式 : 


加 


pAp=1 (1) 
成 立 ， 那 么 ， 这 样 的 数 4 称 为 矩阵 4 的 特征 值 ， 非 零 向 量 ? 称 
为 4 的 对 应 于 特征 值 4 的 特征 向 量 。 式 (1) 也 可 写成 
(A-AE)p=0 (2) 
这 是 7 个 未 知 数 7 个 方程 的 齐 次 线性 方程 组 
1.2 ”对 称 算 阵 的 性 质 
定理 1 设 4 为 n 


阶 对称 和 矩阵， 则 必 有 正 交 和 矩阵 2 ， 使 
充 
PAP=A= 生 (3) 


4 
其 中 : A 是 以 4 的 = 个 特征 值 4 (i=1,2…,n ) 为 对 角 元 的 对 角 


矩阵 。 
推论 1 设 4 为 ” 阶 对 称 乍 阵 ，4 是 4 的 特征 方程 的 上 重 

根 ， 从 而 对 应 特征 值 4 恰 有 x 个 线性 无 关 的 特征 向 量 。 

1.3 黑 盒 子 


1.3.1 黑 盒 子 的 定义 

所 谓 “ 黑 盒子 ”， 是 指 从 用 户 的 角度 来 看 一 个 器 件 或 产品 
时 ， 并 不 关心 其 内 部 构造 和 原理 ， 而 只 关心 它 的 功能 及 如 何 使 
用 这 些 功能 0 。 

本 文 基于 上 述 定义 ， 给 出 本 方案 中 的 定义 : 

定义 2 ” 黑 盒 子 的 内 部 结构 只 有 其 设计 者 知道 ， 除 此 之 外 
无 人 知晓 。 子 秘密 生成 阶段 ， 分 发 者 输入 主 密 钥 K ， 参 与 者 输 


入 集合 的 个 数 + 和 每 个 集合 的 人 数 , 黑 盒子 生成 4( >， =n) 


寺 征 向 量 Pp; ( 
密 分 发 给 各 身 
者 输入 子 密 钥 户 ， 
特征 值 4 ， 从 而 恢复 主 密 钥 K ， 否 则 ， 不 能 
1.3.2 黑 盒 子 的 原理 

a) 子 秘密 生成 阶段 ， 根 据 式 〈3) 设计 的 ， 即 

P"AP=A 

其 中 : PP 为 生成 的 随机 对 称 矩 阵 ， 人 A 是 以 特征 值 4 为 对 角 元 素 
的 对 角 和 矩阵 ， 所 求 的 子 秘密 广 是 矩阵 4 的 特征 向 量 。 

b) 主 密 钥 恢复 阶段 ， 根 据 式 〈1) 设计 的 ， 即 
Py Apy = 
其 中 : A em 车 ， 存 储 在 黑 盒 子 
中 。 当 参与 者 输入 正确 的 子 秘密 Pj; 时 ， 黑 盒子 输出 该 子 秘密 对 
应 的 特征 值 4。 如 果 输 入 错误 的 子 秘密 万， ,由 无 法 得 到 特征 值 。 
1.4 密码 学 知识 

定义 3 秘密 分 发 者 。 是 指 把 子 秘密 分 发 给 个 共享 参与 


<i<sf，1l<s7J<sm )， 并 将 该 特征 向 量 Pp; 作 为 子 

合 的 参与 者 。 主 密 钥 恢复 阶段 ， 各 集合 的 参与 
若 输入 的 子 秘密 是 真实 的 ， 则 得 到 所 对 应 的 

恢复 主 密 钥 K 。 


一 


‘b 
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者 的 人 或 设备 。 他 的 任务 还 包括 向 公告 牌 上 公布 相应 的 辅助 信 
息 


定义 4 秘密 参与 者 。 是 指 拥有 一 份子 秘密 ， 并 且 可 以 通 
过 与 足够 多 的 其 他 参与 者 的 合作 ,得 到 共享 秘密 的 人 或 者 设备 。 

定义 5 公告 栏 。 秘 密 分 发 者 发 布 辅助 信息 的 媒介 , 如 web 
网 站 等 公告 牌 只 有 秘密 分 发 者 可 写 , 而 参与 者 只 有 阅读 权限 。 


2 Shamir 门限 方案 


1979 年 Shamir 上 基于 多 项 式 的 Lagrange 插值 公式 提出 了 
一 个 (n，+) 门限 方案 ， 称 为 Shamir 门限 方案 或 Lagrange 插 
值 法 。Shamir 门限 方案 的 详细 介绍 如 下 。 

a) 参数 选取 

设 共享 秘密 K ,选择 一 个 素数 pe2Z,(P >t )， 有 7 个 参与 
者 ， 要 求 重 构 该 共享 秘密 至少 + 个 人 。 

b) 秘密 分 割 

首先 , 随机 地 选 定 上 -1 个 互 不 相同 的 数 , 记 为 4a， a4,，… aa 
eZ, ， 得 到 多 项 式 : 

s(xX)=K+axt.……+a, x (mod p) (4) 
该 多 项 式 满足 s(0)=Kmodp 。 
其 次 , 选 定 个 不 同 的 整数 ,元 …,% eZs( 如 选择 1,2,…， 
n ), 对 于 每 个 整数 分 别 计算 数 对 (% ,yy ), 其 中 ssCi)modP 。 

最 后 ， 将 4 个 数 对 (和 ，y) ，i=42…,n 分 别 秘密 传送 给 
n 个 成 员 ， 多 项 式 so 则 是 保密 的 ， 可 以 销毁 。 

c) 秘密 恢复 

假设 :个 人 一 起 准备 恢复 秘密 ,不妨 设 他 们 的 数 对 为 C%， 
»), (%, H)。 


首先 ，i! 个 人 计算 多 项 式 f(x) 


(hb, 六) 和 


f= [I modp) (5) 


kl jl “大 
jzk 


其 次 ， 取 多 项 式 /oo 的 常数 项 1(0) ， 即 为 所 求 的 秘密 。 


3 ”基于 特征 值 的 黑 盒 子 意 义 下 的 特殊 门限 秘密 共享 
方案 


3.1 方案 定义 

在 给 出 本 门限 方案 以 前 ， 先 给 出 一 个 例子 。 三 家 银行 互 、 
8, 和 8, 共同 管理 一 项 基金 ， 基 金 的 使 用 需要 经 过 三 家 银行 的 
执行 董事 都 同意 才能 使 用 该 基金 。 其 中 ， 银 行 马 有 3 个 执行 董 
事 , 银行 及 有 4 个 执行 董事 ， 银行 5 有 3 个 执行 董事 。 在 这 个 


例子 中 ， 每 家 银行 均 只 需 派出 任意 一 位 执行 董事 ， 即 可 决定 基 
金 的 使 用 状况 , 则 一 共有 3x4x3=36 种 决定 方式 。 由 此 ， 本 文 定 
义 了 一 种 新 的 G+w+…+,1+1+…+DD) 门限 方案 。 


定义 6 设 B， 已， 8B 是 1 个 参与 者 的 集合 ， BMB, NN 
B=®P, IB|=n 5 B,|=n, 全 IB|=n, (m+t+w+…+n=n)， 集 


合 肪 中 的 加 个 参与 者 中 每 人 分 得 一 个 秘密 数 对 (为 ， PP ) 
(1zj<m )，B, 中 的 如 个 秘密 参与 者 中 每 人 分 得 一 个 秘密 数 对 
(1zj<n) ，…， 马 中 的 二 个 秘密 参与 者 中 每 人 


(hn, psj ) 
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录用 稿 张 艳 硕 ， 等 : 基于 特征 值 的 黑 盒子 意义 下 的 特殊 门限 秘密 共享 方案 
分 得 一 个 秘密 数 对 ( 罗 ，Ps ) (1<7<su ) 。 每 个 集合 至 少 都 出 由 线性 代数 知识 可 知 ,矩阵 A 和 矩阵 4 具有 相同 的 特征 值 。 
一 个 人 则 可 以 计算 出 密 钥 x* ， 缺 少 任何 1 个 集合 的 秘密 参与 成 ” 又 由 推论 1 可 知 ， 每 个 特征 根 4 CG=L12…:0D 对 应 个 线性 无 关 
员 都 不 能 计算 出 密 钥 K 。 


3.2 方案 实施 


的 特征 向 量 。 此 时 将 4 作为 次 主 密 钥 。 其 中 ， 和 对 应 的 特征 向 
为 (PPpp muPn)， 对 应 的 特征 向 量 为 (Pa Pu Pon,) 


三 ! 
里 


提出 的 新 方案 包括 参数 假设 、 秘 密 分 发 、 秘 密 恢 复 三 个 部 4 对 应 的 特征 向 量 为 (PoPo…Pm) 。 秘 密 分 发 者 将 《〈 关 ， 广 ) 


分 ， 详 纪 生 述 如 下 。 
3.2.1 参数 假设 


设 秘密 参与 者 一 共 及 ++…+n=nn 个 人 ， (参与 者 集合 。 3.2.3 秘密 恢复 
By.… 肪 ,分别 各 有 太吉 ,…, 及 个 人 ) ， 设 P (p> ) 是 素数 。 由 于 门限 的 特殊 性 ， 要 求 恢复 秘密 的 参与 者 的 个 数 达 到 要 


(1<izt，1<j<n ) 作 为 子 密 钥 分 发 给 不 同 参与 集合 的 参与 者 。 
其 中 x 是 公开 的 ， 记 是 属于 旋 的 私有 子 密 钥 。 


秘密 分 发 者 随机 地 选 定 1-1 个 数 ， 记 为 a，%，*…，a 62,， 求 , 即 不 少 于 门限 值 *, 也 就 是 说 每 个 参与 者 集合 必须 至 少 出 一 


得 到 多 项 式 s(x?)=K+taxt…+a,ix" (mod p) 。 
其 中 ， 共 享 秘密 主 密 钥 是 K 。 
3.2.2 秘密 分 发 


个 人 ， 且 不 失 一 般 性 。 假 设 互 中 恢复 秘密 的 1 个 参与 者 的 子 密 
钥 是 (%，Pi )，B, 中 恢复 秘密 的 1 个 参与 者 的 子 密 钥 是 (%， 
pa ) ，…，8, 中 恢复 秘密 的 1 个 参与 者 的 子 密 钥 是 (*%，pn ) 。 


首先 ， 秘 密 分 发 者 选择 :个 非 零 的 、 互 不 相同 的 元 素 首先 , 每 个 参与 者 向 黑 合 中 输入 自己 的 子 秘密 p, , 得 到 4 
se 2, 分别 计算 -Go) (1=12.…1 ) ， 得 到 ， 阶 对 然后 ， 将 《二 ， 国 )》、 《五 ， 大) 、… (3 ， 和) 代入 
角 和 矩阵 ^。 方程 9-a+ax+ax+.-+aLx#1。 得 到 方程 组 : 

1 SX) = 00 + a tT ez 
1 SX)=a0 ta t+a 1 = (6) 
攻 1t-1 
Re 1 S(X)=a0t+aeN t+a eX = 
由 于 s(9 是 1-1 次 曲线 ， 所 以 如 果 知道 了 1 个 点 ， 曲 线 就 可 
由 以 按 拉 阁 朗 昌 差 值 公式 表达 出 来 ， 7 安 和 [二 。 而 7 
其 中 ， 生 和， 是 特征 方程 式 (1) 对 应 的 特征 根 ， 并 且 4 有 m 在 x=0 点 的 信 就 是 共享 密 钥 ，K=/(0) 。 
个 ， 怀 有 巴 个 ，…， 双 有 下 个 。 3.3 ， 黑 盒子 的 实现 

其 次 , 秘密 分 发 者 随机 生成 一 个 足够 大 的 = 阶 对 称 甜 阵 P， 。 3.3.1 功能 介绍 

进而 得 到 矩阵 4， 黑 盒子 是 本 方案 的 核心 。 为 了 更 好 地 理解 本 方案 ， 将 详细 
A=PIAP (6) 介绍 黑 盒子 的 功能 ， 其 中 黑 盒子 的 功能 结构 见 图 1 。 


| 主 密 铀 恢复 单元 
1 


所 有 的 -4 
生成 1 个 大 素数 P 


密 钥 恢复 
模块 


集合 Bi 
有 nn 个 参与 者 


n 阶 对 角 
矩阵 A 生成 
模块 


特征 值 产生 
模块 


多 项 式 fx) 生 
成 模块 


子 秘密 生成 


模块 集合 B 


有 np 个 参与 者 


-1 个 互 不 相同 的 随机 数 a; 
1 个 互 机 数 @ 随机 数 、 随 机 大 素 


数 p»、 随 机 对 称 答 
阵 生 成 模块 


1 

1 

1 

1 

1 

1 

1 

1 

1 

| | 
| | 1 个 大 素数 P 
1 

1 

1 

1 

1 

1 

1 

1 

1 


集合 B， 
有 nn 个 参与 者 


n 阶 实 对 称 和 矩阵 Ppa 


成 单元 包括 随机 数 、 随 机 大 素数 、 随 机 对 称 矩 阵 生成 模块 、 


黑 盒子 功能 结构 


黑 盒子 包括 子 密 钥 生成 单元 和 主 密 钥 恢复 单元 。 子 密 钥 生子 秘密 生成 模块 。 其 中 ， 子 密 钥 生成 单元 只 有 分 发 者 有 权利 输 


多 入 数据 。 主 密 钥 生成 单元 相对 简单 ,只 包括 包括 密 钥 恢 复 模块 。 


项 式 生 成 模块 、 特 征 值 产生 模块 、n 阶 对 角 和 矩阵 人 生成 模块 和 kk 体 功 能 介绍 如 下 : 


201805.00457V1 


chinaXiv 


录用 稿 


a) 模 块 一 一 一 随机 数 、 随 机 大 素数 、 随 机 对 称 矩 阵 生 成 模 
块 。 根 据 指令 可 以 生成 随机 数 、 随 机 大 素数 、 随 机 对 称 和 矩阵 。 

b) 模 块 二 一 一 多 项 式 生成 模块 。 根 据 生成 个 随机 数 、 大 素 
数 和 主 密 钥 ， 生 成 多 项 式 /Co 。 

co) 模块 三 一 一 特征 值 产生 模块 。 根 据 生成 的 随机 数 坟 ， 得 
到 所 对 应 的 特征 值 4。 

dd) 模块 四 一 一 阶 对 角 和 矩阵 A 生成 模块 。 根 据 各 集合 中 的 
人 数 罗 和 罗 ， 可 以 生成 4 阶 实 对 称 和 矩阵 。 

e) 模 块 五 一 一 子 秘密 生成 模块 。 根 据 生成 的 生 对 称 矩 阵 P 
和 对 角 和 矩阵 A， 得 到 矩阵 4= PAP， 从 而 得 到 个 特征 向 量 Ps， 
作为 子 密 钥 分 发 给 各 集合 参与 者 。 

了 模块 六 一 一 密 钥 K 恢复 模块 。 各 集合 的 参与 者 将 自己 得 
到 的 子 密 钥 输 入 到 黑 盒子 去 ， 若 输入 正确 的 子 密 钥 ， 则 得 到 次 
主 密 钥 , 即 特征 值 , 从 而 得 到 主 密 钥 ; 否则 , 不 能 恢复 主 密 钥 。 
3.3.2 功能 实现 

1) 子 密 钥 分 发 过 程 

a) 生 成 多 项 式 /Co 。 
根据 参与 者 集合 的 个 数 1、 参 与 者 总 人 数 n，, 模块 一 生成 一 
个 随机 大 素数 ? 、1-1 个 随机 数 ww (i=12…,1-1) ， 并 送 到 模 
块 二 中 。 同 时 ， 分 发 者 将 主 密 钥 K 也 输入 模块 二 中 ， 和 上 述 数 
据 生成 多 项 式 f(x) ， 并 将 其 送 到 模块 三 中 。 

b) 生 成 特征 值 4。 

将 模块 一 生成 上 个 随机 数 去 Ci=L2…, ) 发 送 到 模块 三 中 ， 
得 到 + 个 特征 值 1。 

c) 生 成 对 角 和 矩阵 A 。 

模块 四 根据 输入 集合 的 合 数 + 每 个 集合 的 人 数 和 所 对 应 
的 特征 值 4+， 生 成 4 阶 对 角 和 矩阵 和。 

d) 生 成 子 秘密 。 

模块 五 利用 模块 一 生成 的 对 称 矩 阵 P 了 和 模块 四 生成 的 对 角 
矩阵 A ， 得 到 和 矩阵 4=Pp-'AP ， 从 而 得 到 个 特征 向 量 Pp; ， 作 为 
子 密 钥 分 发 给 各 参与 者 。 

2) 主 密 钥 恢 复 过 程 
集合 的 参与 者 将 自己 得 到 的 子 密 钥 Pp; 输入 到 黑 盒 子 去 ， 
若 所 有 的 参与 者 输入 的 子 密 钥 都 是 正确 ， 则 得 到 主 从 密 钥 ， 从 
而 得 到 主 密 钥 ， 否 则 ， 不 能 恢复 主 密 钥 。 
3.3.3 黑 盒子 主要 功能 程序 
本 黑 盒子 的 设计 , 是 以 MATLAB 为 语言 环境 的 , 主要 的 功 


a) 生 成 大 素数 
psl=[10,20]; 
asl=primes(psl(1)); 
bsl=primes(ps1(2)); 
csl=setxor(asl,bs}l); 
msl=round(1+(numel(csl)-1)*rand()); 
p=csl(ms})); 

b) 生 成 随机 数 
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function d=randnorepeat(m,n) 


p=randperm(n); 


d=p(1:m); 
end 
c) 生 成 随机 对 称 矩 阵 


Im=diag(Ei); 

a=rand(n,n); 
b=tril(a,-1)+triu(a',0) 

dd) 生成 多 项 式 f(x) 和 特征 值 4 
Fi=[ ]; 


for j=1:t 

fx=K:; 

fxy=K; 
xi=xii(1,j) 
fprintf('%d',xi) 
ni=input(' 所 对 应 的 外 

for i=1:t-1 

fx=fx+a(1,i)*(x^(i)); 
fxy=fxy+a(1,i)*(xi^(1)); 


悄 


的 人 数 :) ; 


A 


end 
for k=1:ni 
Ei=[Ei mod(fxyp)]; 
end 
end 
6) 生 成 矩阵 4 
dm=b^-1*m*b 
人 D 生 成 子 秘密 
[V,D]=eig(dm) 
for l=1:n 
fprintf(' 得 到 子 秘密 ' 
VC 
end 
是 恢复 主 密 钥 
fprintf(' 请 输入 得 到 子 秘密 '") 
pz= input( 要 输入 的 数 pz:") 


la=pz^-1*m*pz 
4 ”安全 性 
4.1 正确 性 [6] 


本 方案 的 正确 性 ， 分 两 步 证 明 : 
a) 证 明 1 个 集合 构造 出 来 的 多 项 式 满足 s(%) = 


fF4)=4, i=1,2,.,t 。 
二 
人 和 Oo = 一 (mod p) 
| = 
jz#k 
1 当 k=j 时 
这 里 L(x,)= 
这 里 ， LG%) en 和 
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这 里 是 因为 上 中 包含 为 零 的 因子 
日 差 值 多 项 式 


(x-x))/(x 一 x)) 因子。 而 拉 格 朗 


f= TAL 
i 


当 1<j<t 时 ,满足 f(x))=4。 
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通过 以 上 证 明 ， 知 本 方案 是 


完备 的 理想 秘密 共享 方案 。 


5 ”万 案 的 具体 应 用 


为 了 说 明 方 案 的 可 操作 性 ， 给 出 以 下 例子 。 
例 : 设 有 3 个 集合 B、B, 和 B,; ,它们 分 别 有 2、3 和 2 个 秘 


密 参 与 成 员 。 试 为 这 7 个 用 户 分 配 密 钥 ， 并 分 析 重 构 密 钥 的 
二 


b) 通 过 点 (nn， > (hh, Wy (C0 4 ) 重 构 
1-1 阶 的 多 项 式 st) ， 这 意味 着 已 知 1 个 1 元 一 次 方程 ”过 程 。 
4h=a taxtaxt..+a x (modp), 1<k<t, 


其 中 (%， 久 ) 已 知 ， 方 程 系数 未 知 。 那 么 可 以 重 写 上 式 
如 下 : 
1 nm ee Na fy 
1 x 了 a y, 


左边 的 ix! 矩阵 是 一 个 范 德 蒙 矩 阵 ， 它 的 行列 式 


D= II (Co —%,) 。 因 为 4, 加,…， 


s>m>n>1 


x 互 不 相等 ， 所 以 Dz*0 。 由 线性 


方程 组 的 卡 莱 姆 法 则 ， 知 方程 组 有 唯一 解 。 又 因为 前 面 已 经 在 
证 明 多 项 式 /oo 是 一 个 解 ， 故 而 Ab =sCo0 。 证 明 完 毕 。 
实质 上 , 本 方案 的 正确 性 是 建立 在 Shamir 门限 方案 正确 性 
的 基础 上 的 。 
4.2 抗 攻击 性 

下 面 结合 方案 中 可 能 遭受 的 攻击 ， 

a) 攻击 者 试图 通过 (*%，P; ) 得 到 (%， 
复出 秘密 。 

分 析 : 假设 黑 盒子 的 数据 是 无 法 破解 的 。 如 果 攻 击 者 只 得 
到 (zs ，Pjs ) ， 而 无 法 解密 黑 盒 子 只 得 到 子 密 钥 而 得 不 到 特 
征 值 寺 得 不 到 1 个 方程 组 二 求 不 出 f(x) 志 得 不 到 密 钥 。 因 此 ， 
仅仅 得 到 *%，p; ) 是 无 法 破解 密 钥 大 的 。 

b) 攻击 者 通过 伪造 p; ， 分 发 给 参与 者 错误 的 子 密 钥 。 

分 析 : 同一 秘密 参与 者 分 得 的 子 密 钥 所 对 应 的 特征 值 是 相 
同 的 ， 同 一 集合 的 参与 者 可 以 将 子 密 钥 在 黑 盒 子 中 进行 验证 ， 
如 果 所 得 到 的 特征 值 不 相同 ， 则 说 明 该 系统 受到 了 攻击 ， 进 而 
可 以 进行 责任 追究 ， 反 之 ， 则 说 明 系 统 是 安全 的 。 此 外 ， 黑 盒 
子 的 应 用 也 是 本 方案 的 创新 点 。 
4.3 完善 性 证 明 

1) 1!-1 个 参与 者 无 法 恢复 密 钥 上 。 

证 明 参与 者 必须 通过 1-1 个 方程 求解 1 个 未 知 数 , 其 中 至 
少 有 1 个 自由 变量 , 则 能 得 到 正确 秘密 的 概率 最 多 为 4q, 与 穷 


l 


分 析 方 案 的 安全 性 。 
Py ) ， 从 而 恢 


ds 


bhol 
里 


得 
举 无 异 ， 所 以 无 法 恢复 秘密 。 由 此 可 证 明 本 方案 是 一 个 完善 的 
门限 秘密 共享 方案 。 
2) 信息 率 
于 ws，42，…，%， 都 是 从 2 中 随机 的 取出 的 值 ， 所 以 

集合 (4} 和 子 密 钥 的 概率 分 布 都 是 均匀 分 布 的 。 所 以 用 上 述 方 
法 构造 出 来 的 秘密 共享 方案 的 信息 率 为 

__ HE) _ lg _ | 

max’, H(%) max log|[H()| max’ log|Z, 


1) 参数 选取 

秘密 分 发 者 随机 选取 一 个 2( 此 时 1 为 3) 次 的 多 项 式 : 
f(x)=3+2x+x mod17 。 

2) 秘密 分 发 

取 4=f(W)=fW=6、%b=f(w)=f(2=11、 
f(4)=10 ， 此 时 的 对 角 和 矩阵 为 


=f(%)= 


> 
ll 
一 本 = 
= 
= 
= 
SS 


秘密 分 发 者 生成 的 随机 对 称 矩 阵 A : 

377 1077 843 331 233 3001 349 
482 15347 1331 8051 9616 4158 394 
1077 651 419 488 1469 653 347 
15347 701 554 1293 1761 951 625 
843 419 1831 2126 289 948 853 
1331 554 2695 4973 1774 1367 1643 
331 488 2126 313 634 802 167 
8051 1293 4973 431 6647 1785 171 
233 1469 289 634 1119 805 661 
9616 1761 1774 6647 2770 2878 2919 
3001 653 948 802 805 395 361 
4158 951 1367 1785 2878 742 1210 
349 347 853 167 661 361 403 
394 625 1643 171 2929 1210 2724 
成 的 矩阵 4 : 

2598 1777 704 280 1195 1023 3651 
449 931 395 17131 514 454 ©1081 
332 5781 4259 478 3220 7694 7479 
165 367 773 205 671 1381 1295 
506 432 7487 4211 4157 3137 1168 
223 1331 540 4374 2592 794 187 
9199 1629 284 2907 2446 363 709 
3992 “893 6857 301 1033 1168 1138 
2471 2648 2832 48 1337 1727 2987 
473 389 319 13 274 19%5 329 
2397 391 4334 657 4271 2534 373 
710 63 867 235 482 465 57 
1525 1309 1635 793 2465 470 3229 
354 422 9491 600 652 783 336 


其 中 : 4 对 应 的 特征 向 量 为 


[如 91 301 108 1342 453 207 | 和 
Pu 4401 244 738 1555 2627 700 2615 


[ 注 


A=P"'AP= 


449 967 650 773 
Pu = 


15931 1021 名 | ， 
1356 3611 19559 3057 


61273 -1421 773 


和 4 对 应 的 特征 向 量 为 : 


录用 稿 
_ 194 494 1016 323 157 258 506 ) 
人 2291 3159 1945 2066 2715 325 2593) 、 
283 793 878 1423 628 169 82 ) 和 
人 594 “4033 1607 3801 1161 6768 “3107 
加 1841 149 1001 321 416 475 _ 547 ] , 
Pa 12482 2844 2271 1754 1689 593 2566) ” 
和 4 对 应 的 特征 向 量 为 
( 887 366 414 228 405 _ 691 | 和 
Pa 3204 1103 1349 2009 749 1397 2784 
区 1091 613 379 651 _10%9 357 | 
978 12978 1507 1165 1121 3121 419 
秘密 分 发 者 将 这 7 个 特征 向 量 作为 子 密 钥 ， 即 可 得 到 3 组 子 密 
钥 : 
第 一 组 : Ki= (1l, pn) , ks= (l, ps); 
第 二 组 : b=(2, pay), ky=(2, py), ks= (2, pa ) ; 
第 三 组 : 后 | 三 (4， Pa ba k, = (4， Pa J 将 上 述 3 组 子 
密 钥 分 别 分 发 给 B、B, 和 8, 中 的 秘密 参与 成 员 。 


3) 秘密 恢复 
假设 持 有 子 密 钥 的 ，, 


复 密 钥 ， 他 们 首先 需要 将 自 ; 
ch =NN=6, 
为 到 场 的 人 数 为 3， 则 可 以 习 


己 手中 


| 


ch = =11, ch=%=10, 


的 子 密 ,机 输入 


为 


6 (x—2)(x—4) 6 (x—2)(x—4) 
(1-2d-4) (DC-3) 

=6(x—2)(x—4).(3 7 mod17) 

=6(x—2)(x—4)*6=36(x—2)(x—4) 


(x-D(x—4) 

(2-D2-4) ” 

11 -DD 
9 


=11(x -D(x—4):((-2) 
=11(x—1)(x—4).8=88(x—D(x—4) 
0G-DC-2 10C-DG- 
(4—1)(4—2) 6 


=10(x— Dx-2).(6-! mod17) 
=10(x— Dx-2)3=30(x-D(x-2) 


所 以 


E 构 f(x) 。 式 子 的 三 项 分 别 


1mod17) 


f(x)=[36(x—2)(x—4)+88(x—D(x—4) 


+30(x—D(x—2)]mod17 
=(154x? +746x+700)mod17 
=x? +15x+3 


所 以 K=3。 


6 ”结束 语 


本 文 首次 基于 特殊 对 称 矩 阵 的 特征 值 提出 了 


从 而 获得 共享 密 钥 。 


一 种 新 的 秘密 


共享 方案 。 一 个 集合 中 多 个 


ly 


参与 者 对 应 同一 个 特有 


E 值 。1 个 秘 


密 被 1 个 集合 中 的 个 参与 者 所 


~ ， 八 有 所 


都 参与 密 钥 恢复 , 才能 


恢复 出 密 钥 ,同时 ， i ni 


实现 子 秘密 的 生成 和 主 密 钥 的 恢复 ， 
应 用 方面 都 具有 借鉴 性 意义 。 


Ghinax 


( 
: 基于 特征 值 的 黑金 子 意义 


张 艳 硕 ， 
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